DORA — Digital Operational Resilience Act

ICT-Risiko- und Informationsregister-Software

So könnte eine Beratung im DORA-Umfeld ihr Methodenwissen zum IKT-Risikomanagement in eine eigene Software überführen — vom IKT-Risikoregister über die Klassifizierung kritischer und wichtiger Funktionen bis zum aufsichtskonformen Informationsregister.

Zurück zur Übersicht

Beispielszenario — noch kein Live-Projekt. Exemplarische Darstellung einer typischen Umsetzung.

Multi-Tenant
eine Plattform, getrennte Mandanten
EU-Hosting
eingerichtet bei einem EU-Anbieter
Informationsregister
Export in den Aufsichtsvorlagen (ESA-ITS)
Audit-Trail
jede Änderung nachvollziehbar

Ausgangslage

Mit dem Digital Operational Resilience Act (DORA) müssen Finanzunternehmen und ihre IKT-Dienstleister ihre digitale Betriebsstabilität nachweisbar steuern: ein dokumentiertes IKT-Risikomanagement, ein vollständiges Register aller vertraglichen Vereinbarungen mit IKT-Drittdienstleistern (das sogenannte Informationsregister) und eine Klassifizierung, welche IKT-Dienste kritische oder wichtige Funktionen stützen.

Beratungen in diesem Feld stehen vor der Aufgabe, diese Anforderungen für mehrere Mandanten konsistent, prüfbar und im geforderten Aufsichtsformat abzubilden — eine Facharbeit, die in der Praxis häufig in verstreuten Tabellen entsteht: schwer aktuell zu halten, kaum revisionssicher und mühsam in das Meldeformat der Aufsicht zu überführen. Ein Werkzeug, das diese Methodik abbildet, könnte aus dieser wiederkehrenden Arbeit ein eigenes, wiederverwendbares Produkt machen.

Lösungsansatz

Eine solche Anwendung wäre als mandantenfähige Plattform angelegt, die den DORA-Sorgfaltsprozess durchgängig abbildet — von der Erfassung der IKT-Dienstleister und Verträge über die Klassifizierung kritischer und wichtiger Funktionen bis zum exportfähigen Informationsregister. Ein geführter Workflow würde durch Risikoidentifikation, -bewertung und Maßnahmensteuerung leiten, sodass jede Einstufung am Ende hergeleitet und belegt wäre.

  • Geführter Workflow von der Dienstleister- und Vertragserfassung bis zur Risikobewertung
  • Klassifizierung der IKT-Dienste danach, ob sie kritische oder wichtige Funktionen stützen
  • Informationsregister mit Export in den Aufsichtsvorlagen (ESA-ITS)
  • Konzentrationsrisiken und Abhängigkeiten von Dritt- und Sub-Dienstleistern auf einen Blick
  • Maßnahmen-Board für Präventions- und Abhilfemaßnahmen mit Rollen, Fristen und Freigaben
  • Rollenbasiert und mehrsprachig, mit lückenlosem Audit-Trail und Zwei-Faktor-Authentifizierung

Wie es aussehen könnte

Register-Übersicht: Informationsregister der IKT-Drittdienstleister mit Klassifizierung kritischer und wichtiger Funktionen, Konzentrationsrisiko und Export in die Aufsichtsvorlagen (ESA-ITS).
Klassifizierungs-Wizard: geführte Einstufung je IKT-Dienst mit hergeleitetem Brutto- und Nettorisiko und referenziertem Beleg.
Maßnahmen-Board: Präventions- und Abhilfemaßnahmen als nachverfolgbare Aufgaben mit Rollen, Priorität und Status.

Mockup / Beispieldarstellung — frei erfundene Demodaten, kein reales System oder Produkt.

Was das Tool leisten würde

Angelegt als wiederverwendbares Produkt, könnte ein solches Tool die DORA-Facharbeit über alle Mandanten hinweg auf denselben, nachvollziehbaren Prozess stellen. Statt verstreuter Tabellen entstünde eine strukturierte Datenbasis, aus der sich das Informationsregister und prüffähige Nachweise jederzeit ableiten ließen.

  • Würde das Informationsregister jederzeit im geforderten Aufsichtsformat bereitstellen
  • Könnte IKT-Risiken und Drittanbieter-Abhängigkeiten über alle Mandanten konsistent abbilden
  • Wäre als revisionssichere Grundlage für Audits und Aufsichtsanfragen angelegt
  • Würde aus wiederkehrender Beratungsleistung ein skalierbares Produkt unter eigener Marke machen

Welcher Teil Ihrer Methodik eignet sich als Tool?

Genau das klären wir im Scoping-Workshop: halbtägig, remote, zum Festpreis. Ergebnis ist eine Ein-Pager-Spezifikation mit Kosten- und Nutzenrahmen.

Scoping-Workshop anfragen

Was Kunden über die Zusammenarbeit sagen

They're wonderfully honest and upfront and provide incredible customer service as well. They go above and beyond; when one of our customers went bankrupt, Browserbite EOOD helped us get through that. If anyone needs help with anything technology-based, I always put them in touch with Browserbite EOOD. They're very knowledgeable.

They've already provided the prototype, which we're able to show our customers. We're just doing beta testing with them and fine-tuning the app on our end.

Angelique Bradford
Co-Founder, New Beginnings Consultation

The client and we as consulting partner were very happy with the quality and the cooperation with Browserbite.

Really feels like working with a partner who cares about the projects as much as we do.

Robert Vossen
Partner, Beratungsagentur

Overall, the app has received positive feedback. After Browserbite EOOD implemented the platform, our users found the processes very practical. Previously, we had to provide training for these processes, and the app made everything more intuitive. Our users are happy to have that tool, and we now have better productivity and quality.

They delivered everything on time and on point. We communicated using Google Meet, constant phone calls, and Slack messages. Additionally, we used Google tools to share documents.

Dennis Goldbach
CEO, DevGold

Within 3 months we executed a live proof of our concepts and reached valuable insights into our business model. We started into the next project phase fast and will further develop our product.

The communication and bilateral understanding were superb.

Dennis Dedaj
CEO, DGTL MKRS